Назад | Перейти на главную страницу

Linux с winbind, отключить локальных пользователей, пока доступен AD?

Маршрутизаторы и коммутаторы с аутентификацией RADIUS могут быть настроены таким образом, чтобы вход в систему был отключен для локально настроенных пользователей, пока доступен сервер RADIUS. Если сервер RADIUS становится недоступным, они возвращаются к разрешению входа в систему как локально настроенный пользователь.

Можно ли добиться того же эффекта на машинах Linux, используя winbind для аутентификации пользователей Active Directory? У меня есть ощущение, что это можно сделать с помощью правильной конфигурации PAM, но я не очень далеко продвинулся по кривой обучения PAM ...

Да, это возможно.

В основном вам нужно будет убедиться, что у вас есть pam_unix ниже pam_winbind в вашей конфигурации pam, как в следующем примере:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so

Вам также необходимо убедиться, что nsswitch настроен на возврат к локальным идентификаторам:

passwd:     winbind files
shadow:     winbind files
group:      winbind files

На сайте Samba есть подробные документы:

НО: вы можете столкнуться с некоторыми проблемами из-за длительного времени входа в систему, если вы не установите жесткие таймауты. Я также рекомендовал бы изучить другие альтернативы, которые могут работать лучше в таких случаях.